大二層-按需構(gòu)建靈活的精細(xì)化的校園網(wǎng)絡(luò)

按需構(gòu)建靈活的、精細(xì)化的校園網(wǎng)絡(luò)Copyright?2022JuniperNetworks,Inc.

議題傳統(tǒng)

高校校園網(wǎng)

絡(luò)

分析新型校園網(wǎng)的目

標(biāo)

和思路新型校園網(wǎng)技

術(shù)實(shí)現(xiàn)Copyright?2022JuniperNetworks,Inc.高校的

煩惱創(chuàng)

新的

壓

力監(jiān)

管的

壓

力管理的

壓

力高校Copyright?2022JuniperNetworks,Inc.高校校園網(wǎng)最關(guān)注的方面

業(yè)務(wù)、應(yīng)用、

用戶的承載

能力政策和法律法規(guī)的

要求管理維護(hù)工作量和

難度這些方面是不同區(qū)域不同規(guī)模的學(xué)校所共同關(guān)注的，網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式?jīng)Q定了問題存在的必然性Copyright?2022JuniperNetworks,Inc.

核心層匯聚層接入層

大車?yán)●R，小馬拉大車

頭疼醫(yī)頭，腳痛醫(yī)腳用戶接入相互隔離速率限制802.1X

接入控制DHCP

偵聽動(dòng)態(tài)

ARP

檢測VPN高速轉(zhuǎn)發(fā)

IPv4

三層終結(jié)

IPv6

三層終結(jié)

單播、組播控制

ACL

QoS傳統(tǒng)校園網(wǎng)

“

倒掛

”

的構(gòu)架Copyright?2022JuniperNetworks,Inc.現(xiàn)有校園網(wǎng)中經(jīng)常面臨的問題

網(wǎng)

絡(luò)

病毒的

傳

播和感染，控制手法

匱

乏

ARP

欺

騙帶

來的大面

積

影響，控制手法

匱

乏

網(wǎng)

絡(luò)資

源的公平性欠缺

——

部分人下

載

占據(jù)大量出口

帶寬

，影響他人的網(wǎng)

絡(luò)訪問

和學(xué)

習(xí)

無法

實(shí)現(xiàn)

差異化的服

務(wù)

——

網(wǎng)

絡(luò)層

的

簡單

互通，無法

針對

不同群體用

戶實(shí)現(xiàn)

不同的服

務(wù)

管理

維護(hù)

工作量的增加，網(wǎng)段多故障

過

于分散Copyright?2022JuniperNetworks,Inc.扁平化精

細(xì)

化下一代校園網(wǎng)

平臺化"

新思路，新方法

"Copyright?2022JuniperNetworks,Inc.IPv4/IPv6

雙棧線速轉(zhuǎn)發(fā)IPv4/IPv6

雙棧組播控制扁平化

業(yè)務(wù)控制層寬帶接入層

ACL

、速率限制

QoS

VPN

基于用戶的認(rèn)證接入和控制

QinQ

VLAN

隔離

用戶接入

VLAN

隔離大車和小馬各司其職，各盡所長更高效更穩(wěn)定更省錢Copyright?2022JuniperNetworks,Inc.扁平化帶來的優(yōu)勢控制集中、部署簡單、擴(kuò)展方便

由能力最強(qiáng)，功能最豐富的核心設(shè)備提供業(yè)務(wù)控制和管理

豐富的功能

較好的性能

穩(wěn)定、可靠

匯聚

/

接入設(shè)備，則提供其力所能及的基本功能

只提供基本的二層

VLAN

隔離功能

無需支持新的業(yè)務(wù)和功能

降低設(shè)備投資（數(shù)量眾多?。?/p>

由于功能簡單，因此更加穩(wěn)定可靠

全網(wǎng)投資的下降，運(yùn)行成本（電力、空調(diào)）成本的大幅降低

網(wǎng)絡(luò)架構(gòu)更易于擴(kuò)展和管理Copyright?2022JuniperNetworks,Inc.精細(xì)化用戶可分、可離行為可控、可審應(yīng)用可知、可保Copyright?2022JuniperNetworks,Inc.

精細(xì)化控制傳統(tǒng)的校園網(wǎng)是粗放型的網(wǎng)絡(luò)

只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的審計(jì)和控制手段用戶之間互相影響，網(wǎng)絡(luò)中的攻擊泛濫，如

ARP

攻擊

/DHCP

仿冒/IP

仿冒；用戶只要接上網(wǎng)絡(luò)，就能獲得網(wǎng)絡(luò)的使用權(quán)，整個(gè)訪問過程沒有針對性的記錄、審計(jì)和基于用戶的控制，導(dǎo)致了網(wǎng)絡(luò)的無序使用網(wǎng)絡(luò)使用沒有實(shí)名制，用戶訪問行為沒有記錄，出現(xiàn)問題無法追查；缺乏針對性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障；難以實(shí)現(xiàn)靈活的用戶控制、如基于身份、時(shí)間、位置等……Copyright?2022JuniperNetworks,Inc.用戶的精細(xì)化控制的手段基于邏輯接口實(shí)現(xiàn)

每個(gè)接入端口在核心設(shè)備上對應(yīng)一個(gè)邏輯接口

在接口上提供速率限制、訪問權(quán)限控制等能夠基于每個(gè)用戶實(shí)現(xiàn)

基于用戶的身份，在用戶認(rèn)證時(shí)動(dòng)態(tài)下發(fā)控制屬性，對用戶的訪問

速率、權(quán)限等進(jìn)行控制能夠基于不同類型的接入方式開放

/

關(guān)閉相應(yīng)的業(yè)務(wù)功能

由于

AP

的性能問題，建議關(guān)閉

IPv4/IPv6

multicast

業(yè)務(wù)

僅開放單播業(yè)務(wù)Copyright?2022JuniperNetworks,Inc.平臺化

網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機(jī)MX960

AMX960

BMX960

CInternet

Cernet用戶認(rèn)證帶寬/

CALRadiusPortal數(shù)據(jù)中心出口Copyright?2022JuniperNetworks,Inc.平臺化10011-2410021-2410031-24QinQ

和地址

規(guī)

劃Vlan

1-24Vlan1-24 Vlan1-24 Copyright?2022JuniperNetworks,Inc.增加外層標(biāo)簽

1001增加外層標(biāo)簽

1002增加外層標(biāo)簽

1003提供

IPv4/IPv6

雙棧的終結(jié)和控制功能無需

IPv6

支持

無需

IPv6

支持 IPv4address： IPv6address：2022:10ad::1/64Copyright?2022JuniperNetworks,Inc.

網(wǎng)絡(luò)中心業(yè)務(wù)控制層基于

WEB

Portal

（

IPoE

）的用戶接入認(rèn)證

MX960

AMX960

BInternet

Cernet帶寬

/ACL 流程： 1，用戶側(cè)通過DHCP獲得IP地 址，在MX上相應(yīng)生成demux用 戶接口；MX960C2，用戶demux接口的默認(rèn)權(quán)限 是特定的資源，當(dāng)訪問其他資源 時(shí)，通過.redirect重定向到 portal頁面上； 3，用戶在portal頁面上輸入用 戶名和口令，認(rèn)證成功后， radius系統(tǒng)下發(fā)屬性，調(diào)用定義 的訪問策略，對用戶的demux端 口進(jìn)行控制，開放用戶特定的訪 問權(quán)限；Radius+Portal

認(rèn)證

用戶認(rèn)證

計(jì)費(fèi)

速率控制

權(quán)限控制

行為管理

……

接入交換機(jī)Copyright?2022JuniperNetworks,Inc.網(wǎng)

絡(luò)

中用

戶

的

統(tǒng)計(jì)

和分析（

僅

DHCP

，無需用

戶認(rèn)證

）Copyright?2022JuniperNetworks,Inc.IPv6

組播情況統(tǒng)計(jì)

—

按照頻道統(tǒng)計(jì)Copyright?2022JuniperNetworks,Inc.校園網(wǎng)有線無線一體化的實(shí)現(xiàn)Copyright?2022JuniperNetworks,Inc.以

MX

為

核心的有

線

無

線

一體化校園網(wǎng)Single

fabric

using

Virtual

Chassis

technologyMXAccessLayer10GbE

serversPoEPoE10GE

with

LAGWLC-2800MP-532

APsCopyright?2022JuniperNetworks,Inc.CUG

全校有線無線一體化認(rèn)證

Aruba

6000_master

Aruba

6000_E

Aruba

6000_W

Aruba

6000_NAC6000

4

臺AP1200

多臺Copyright?2022JuniperNetworks,Inc.基于

每

個(gè)用

戶

的管理（

僅

DHCP

，無需用

戶認(rèn)證

）PortVLANSubscriber

InterfaceSubscriber

InterfaceVLANSubscriber

InterfaceSubscriber

InterfaceCopyright?2022JuniperNetworks,Inc.CUG

基于瘦客戶端的應(yīng)用案例

地大在其瘦客戶端上開發(fā)了一些特性功能，如提供了用戶多項(xiàng)出口

選擇功能：

提供給學(xué)生自由自主的上網(wǎng)平臺和環(huán)境，同時(shí)也提供了部分用戶的

認(rèn)證直接進(jìn)入

VPN

，如圖書館；Copyright?2022JuniperNetworks,Inc.計(jì)費(fèi)

的

實(shí)現(xiàn)

（基于

時(shí)長

、流量）Copyright?2022JuniperNetworks,Inc.基于

Netflow

的精細(xì)化流量分析和計(jì)費(fèi)功能后臺數(shù)據(jù)庫，針對帳號及

Channel

的復(fù)合記錄Copyright?2022JuniperNetworks,Inc.校園網(wǎng)不再是

“

黑盒子

”用戶相互

隔離多業(yè)務(wù)功

能支持細(xì)致的

控制行為識別追蹤遠(yuǎn)程實(shí)時(shí)診斷Copyright?2022JuniperNetworks,Inc.基于

Netflow

的精細(xì)化流量分析和計(jì)費(fèi)功能用戶賬單查詢，上網(wǎng)時(shí)間及流量等內(nèi)容，都區(qū)分了非優(yōu)惠和優(yōu)惠方式；流量日志每隔

5—10

秒增量備份一次，保存在專門的備份目錄里面，目前保存時(shí)長是一年；Copyright?2022JuniperNetworks,Inc.用戶認(rèn)證進(jìn)入不同的

MPLS

VPN

[edit]

lab@CUG-MX960-RE1#

show

routing-instances

?

Possible

completions:

DMTJS_GL_VPN

Routing

instance

name

————

多媒體教室

VRF

NMA_GL_VPN

Routing

instance

name

————

網(wǎng)管

VR

TSG_GL_VPN_700

Routing

instance

name

————

圖書館

VRF

Unit_Server_Storage_VPN

Routing

instance

name

————

服務(wù)器存儲的

VRF

Wireless_AP_GL_VPN

Routing

instance

name

————

無線

AP/AC

互聯(lián)的

VRF

YKT_GL_VPN_902

Routing

instance

name

————

一卡通

VRF

to_3A-Portal

Routing

instance

name

————

forward

，做

FBF

的

filter

to_TSG_GL_VPN

Routing

instance

name

————

virtual-router

，

IPoE

直接接入圖書館

VPN

to_dianxin

Routing

instance

name

————

forward

，做

FBF

的

filter

to_jiaoyu

Routing

instance

name

————

forward

，做

FBF

的

filter

to_wangtong

Routing

instance

name

————

forward

，做

FBF

的

filter

。。。。。。

MX960

上面建立了多種

VPN

，有

VRF

、

VR

、

Forwarding

；

地質(zhì)大學(xué)目前正在部署

“

節(jié)能水電

VRF”

，管理全校水電信息；核心交換機(jī)

匯聚交換機(jī)

………Copyright?2022JuniperNetworks,Inc.…

認(rèn)證客戶端用戶

Web

自

助服務(wù)器SAM

Server

數(shù)

據(jù)庫

Server計(jì)費(fèi)管理系統(tǒng)INTERNET

FW

上網(wǎng)業(yè)務(wù)數(shù)據(jù)接入控制：

帳號

+

IP

＋

MAC

＋端口

接入時(shí)段控制

接入交換機(jī)

認(rèn)證計(jì)費(fèi)報(bào)文交換機(jī)接入控制

接入交換機(jī)接入控制技術(shù)

——802.1XCopyright?2022JuniperNetworks,Inc.3

、計(jì)費(fèi)策略問題旁掛架構(gòu)沒法對流量實(shí)施細(xì)分計(jì)費(fèi)策略，無法提供復(fù)雜計(jì)費(fèi)策略；只能按照時(shí)長計(jì)費(fèi)，

802.1X

的流量統(tǒng)計(jì)都是基于交換機(jī)端口的；4

、多節(jié)點(diǎn)的管理問題較為

分散的控制點(diǎn)，不利于

進(jìn)

行整網(wǎng)的運(yùn)

營

管理及控制5

、

影響低端接入交

換

機(jī)運(yùn)行的

穩(wěn)

定性

接入控制技術(shù)

——802.1X1

、交換機(jī)彼此兼容性問題網(wǎng)絡(luò)設(shè)備不兼容、擴(kuò)展功能不兼容2

、終端問題，不適應(yīng)當(dāng)今終端接入方式客戶端不兼容，安全特性不兼容；Copyright?2022JuniperNetworks,Inc.serversradius認(rèn)證

計(jì)費(fèi)接入控制技術(shù)

——PPPoE

CernetBRAS

設(shè)備Copyright?2022JuniperNetworks,Inc.接入控制技術(shù)

——PPPoE1

、專有客戶端需求，不適應(yīng)當(dāng)今無客戶接入方式2

、

PPPoE

封裝和解封裝，帶來效率的降低；3

、組播的天然缺陷，非純

IP

報(bào)文，組播支持不好；Copyright?2022JuniperNetworks,Inc.接入控制技術(shù)

——

網(wǎng)關(guān)

WEB

認(rèn)證

Cernet網(wǎng)

關(guān)認(rèn)證

系

統(tǒng)AC

控制器Copyright?2022JuniperNetworks,Inc.接入控制技術(shù)

——

網(wǎng)關(guān)

WEB

認(rèn)證1

、只是在出口網(wǎng)關(guān)位置實(shí)現(xiàn)控制；2

、無法感知和解決內(nèi)網(wǎng)的安全問題；3

、無法對內(nèi)網(wǎng)用戶進(jìn)行精細(xì)化的控制；4

、基于優(yōu)化的

PC

架構(gòu)，無法實(shí)現(xiàn)性能的提升，已為運(yùn)營商所棄用。Copyright?2022JuniperNetworks,Inc.接入控制技術(shù)

——IPoE

方式Copyright?2022JuniperNetworks,Inc.提供

ALL-IN-ONE

融合的

認(rèn)證

功能DHCP+Portal

認(rèn)證DHCPv4DHCPv6L2TP

認(rèn)證IPv4

over

L2TPIPv6

over

L2TPPPPoE

認(rèn)證PPPoEv4PPPoEv6報(bào)文觸發(fā)

認(rèn)證IPv4

PTSPIPv6

PTSP0103

0204基于

WEB

Portal

（

IPoE

）的用戶接入認(rèn)證

網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機(jī) Copyright?2022JuniperNetworks,Inc.全面的校園網(wǎng)精細(xì)化管理方案MX960

A認(rèn)證計(jì)費(fèi)速率控制權(quán)限控制行為管理……Internet

Cernet 流程： 1，用戶側(cè)通過DHCP獲得IP地 址，在MX上相應(yīng)生成demux用 戶接口；MX960C2，用戶demux接口的默認(rèn)權(quán)限 是特定的資源，當(dāng)訪問其他資源 時(shí)，通過.redirect重定向到portal

頁面上；3

，用戶在

portal

頁面上輸入用戶名和口令，認(rèn)證成功后，radius

系統(tǒng)下發(fā)屬性，調(diào)用定義的訪問策略，對用戶的

demux

端口進(jìn)行控制，開放用戶特定的訪問權(quán)限；

用戶認(rèn)證

帶寬

/ACLRadius+Portal

MX960

BCopyright?2022JuniperNetworks,Inc.校園網(wǎng)實(shí)名制和計(jì)費(fèi)功能的實(shí)現(xiàn)實(shí)名制是校園網(wǎng)精細(xì)化發(fā)展的方向

能夠做到用戶身份和網(wǎng)絡(luò)行為的一一對應(yīng)

能夠做到基于用戶角色的控制

能夠?qū)崿F(xiàn)用戶訪問網(wǎng)絡(luò)的計(jì)費(fèi)功能

能夠提供審計(jì)功能，做到有據(jù)可查MX

系列核心路由器支持用戶管理功能，在作為核心路由器的同時(shí)，提供用戶接入網(wǎng)絡(luò)時(shí)的認(rèn)證、控制和計(jì)費(fèi)功能核心路

由用

戶

管

理MXCopyright?2022JuniperNetworks,Inc.部署方案

A物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層

接入層校園網(wǎng)業(yè)務(wù)控制層Copyright?2022JuniperNetworks,Inc.部署方案

B物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層

接入層Copyright?2022JuniperNetworks,Inc.部署方案

C物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層

接入層10011-2410021-2410031-24QinQ

和地址

規(guī)

劃Vlan

1-24Vlan1-24 Vlan1-24 Copyright?2022JuniperNetworks,Inc.增加外層標(biāo)簽

1001增加外層標(biāo)簽

1002增加外層標(biāo)簽

1003提供

IPv4/IPv6

雙棧的終結(jié)和控制功能無需

IPv6

支持

無需

IPv6

支持 IPv4address： IPv6address：2022:10ad::1/64Copyright?2022JuniperNetworks,Inc.海量配置的自

動(dòng)

生成校園網(wǎng)采用了

VLAN

細(xì)

分的方式大量的

VLAN

帶

來了大量的配置基于模板的

auto-configCopyright?2022JuniperNetworks,Inc.IPv6

的

實(shí)

名制和精

細(xì)

化控制SLAAC

（簡

單

、兼容）PPPoE

（實(shí)名制、精細(xì)控制認(rèn)

證、客戶端）DHCP

（實(shí)名制、

精細(xì)控制，如何兼

容）Copyright?2022JuniperNetworks,Inc.MX

support

DHCPv6Copyright?2022JuniperNetworks,Inc.IPv6

組播的實(shí)現(xiàn)MX

核心路由器能夠?qū)崿F(xiàn)基于硬件的

IPv6

組播復(fù)制，支持每板卡4000

并發(fā)用戶同時(shí)在線觀看視頻節(jié)目

Cernet

華東北節(jié)點(diǎn)測試驗(yàn)證無需匯聚接入設(shè)備支持

IPv6

組播核心匯聚Cernet2邊界路由器接入Copyright?2022JuniperNetworks,Inc.以

MX

為

核心的有

線

無

線

一體化校園網(wǎng)Single

fabric

using

Virtual

Chassis

technologyMXAccessLayer10GbE

se